(PHP 4, PHP 5, PHP 7)
unserialize — Crée une variable PHP à partir d'une valeur linéarisée
unserialize() prend une variable linéarisée (voir serialize()) et la convertit en variable PHP.
Ne passez pas d'entrée utilisateur non fiable à la fonction unserialize(). La délinéarisation peut résulter en une exécution de code chargé et exécuté lors de l'instanciation et l'auto-chargement d'objet, et ainsi, un utilisateur mal intentionné peut être capable d'exploiter ce comportement. Utilisez un standard d'échange sûr, comme JSON (via les fonctions json_decode() et json_encode()) si vous devez passer des données linéarisées à l'utilisateur.
Si vous avez besoin de délinéariser des données linéarisées dans un magasin externe, vous devriez utiliser la fonction hash_hmac() pour valider les données. Assurez-vous que les données n'ont été modifiées par personne d'autre que vous.
strLa chaîne linéarisée.
Si la variable délinéarisée est un objet, après avoir réussi à le reconstruire, PHP appellera automatiquement la méthode __wakeup si elle existe.
Note: unserialize_callback_func directive
Il est possible de définir une fonction de rappel qui sera appelée si une classe indéfinie est utilisée lors de la délinéarisation (ce qui évitera de voir l'objet recevoir le type d'objet incomplet object "__PHP_Incomplete_Class"). Utilisez dans votre fichier php.ini ou le fichier .htaccess, ou encore avec la fonction ini_set(), pour définir une fonction unserialize_callback_func(). Chaque fois qu'une classe non-définie sera instanciée, cette fonction sera appelée. Pour désactiver cette fonctionnalité, laissez la simplement vide.
optionsToute option à fournir à unserialize(), sous la forme d'un tableau associatif.
| Nom | Type | Description |
|---|---|---|
| allowed_classes | mixed |
Soit un tableau de noms de classes qui doivent être acceptées, FALSE
pour accepter aucune classe, ou TRUE pour accepter toutes les
classes. Si cette option est définie, et
unserialize() rencontre un objet d'une classe
qui n'est pas accepté, alors l'objet sera instancié plutôt comme
__PHP_Incomplete_Class.
Le fait d'ommettre cette option revient à le définir comme TRUE :
PHP va tenter d'instancier les objets de n'importe quelle classe.
|
La valeur convertie est retournée par la fonction, et peut être de type booléen, entier, nombre décimal, chaîne de caractères, tableau ou objet.
Si la chaîne passée ne peut être délinéarisée, cette fonction retourne
FALSE et une erreur E_NOTICE est émise.
| Version | Description |
|---|---|
| 7.0.0 |
Le paramètre options a été ajouté.
|
| 5.6.0 | La manipulation des données linéarisées en remplaçant C: avec O: pour forcer l'instanciation d'objet sans appeler le constructeur échoue dorénavant. |
Exemple #1 Exemple avec unserialize()
<?php
// Ici, on utilise <function>unserialize</function> pour charger les données de sessions
// depuis la base de données, dans $session_data. Cet exemple complète
// celui fourni avec <function>serialize</function>.
$conn = odbc_connect("webdb", "php", "chicken");
$stmt = odbc_prepare($conn, "SELECT data FROM sessions WHERE id = ?");
$sqldata = array($_SERVER['PHP_AUTH_USER']);
if (!odbc_execute($stmt, $sqldata) || !odbc_fetch_into($stmt, $tmp)) {
// si la préparation ou la lecture échouent, on crée un tableau vide
$session_data = array();
} else {
// les données sauvées sont dans $tmp[0].
$session_data = unserialize($tmp[0]);
if (!is_array($session_data)) {
// Erreur... initialisation d'un tableau vide
$session_data = array();
}
}
?>
Exemple #2 Exemple avec la directive unserialize_callback_func
<?php
$serialized_object='O:1:"a":1:{s:5:"value";s:3:"100";}';
ini_set('unserialize_callback_func', 'mycallback');
function mycallback($classname)
{
// Incluez simplement un fichier contenant votre définition de classe
// vous saurez quelle classe grâce à $classname
}
?>
FALSE est retourné dans les cas où une erreur survient et si vous
tentez de délinéariser une valeur linéarisé égale à FALSE. Il est
possible d'intercepter ce cas spécial en comparant
str avec serialize(false)
ou en attrapant l'erreur E_NOTICE émise.